ГлавнаяБаза уязвимостей БДУ → BDU:2024-02392
10критическая

BDU:2024-02392 (CVE-2024-29133)

Уязвимость функции ListDelimiterHandler.flatten(Object, int) библиотеки Apache Commons Configuration, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-01
Описание

Уязвимость функции ListDelimiterHandler.flatten(Object, int) библиотеки Apache Commons Configuration связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданных данных

Затрагиваемое ПО и версии
Debian GNU/Linux (10)openSUSE TumbleweedDebian GNU/Linux (11)Debian GNU/Linux (12)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Desktop (15 SP3)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Desktop (15 SP2)Suse Linux Enterprise Desktop (15 SP4)Suse Linux Enterprise Server (15 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Suse Linux Enterprise Server (15 SP2-LTSS)Suse Linux Enterprise Server (15 SP3-LTSS)Suse Linux Enterprise Server (15 SP3-BCL)Fedora (39)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)Suse Linux Enterprise Desktop (15 SP5)Fedora (40)Suse Linux Enterprise Server (15 SP4-LTSS)Commons Configuration (от 2.0 до 2.10.1)
Способ устранения

Использование рекомендаций:

Для продуктов Apache Commons Configuration:
https://lists.apache.org/thread/ccb9w15bscznh6tnp3wsvrrj9crbszh2

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-29133

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-29133.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YD4AFTIIQW662LUAQRMWS6BBKYSZG3YS/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SNKDKEEKZNL5FGCTZKJ6CFXFVWFL5FJ7/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://lists.apache.org/thread/ccb9w15bscznh6tnp3wsvrrj9crbszh2https://issues.apache.org/jira/browse/CONFIGURATION-841https://github.com/apache/commons-configuration/commit/43f4dab021e9acb8db390db2ae80aa0cee4f9ee4https://security-tracker.debian.org/tracker/CVE-2024-29133https://www.suse.com/security/cve/CVE-2024-29133.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YD4AFTIIQW662LUAQRMWS6BBKYSZG3YS/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SNKDKEEKZNL5FGCTZKJ6CFXFVWFL5FJ7/https://safe-surf.ru/upload/VULN-new/VULN.2024-03-25.1.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена